SlideShare una empresa de Scribd logo

Modulos de Seguridad en Servidores Web

Descargar como PPT, PDF
Conferencias FIST
Conferencias FIST
Tecnología
1 de 37
FIST Conference Junio 2005 @ Módulos de seguridad en servidores web Rafael San Miguel Carrasco Consultor de Seguridad rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Contenido de la presentación  PSM vs NSM  Introducción  Evaluación funcional  Ejecución remota de comandos arbitrarios  Inyección de sentencias SQL  Cross-site scripting  Inclusión de ficheros PHP  Fuga de información confidencial  Manipulación de la cabecera Server  Conclusiones  Referencias rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ PSM vs NSM  El PSM (Modelo de Seguridad Positiva) se basa en identificar los patrones de tráfico legítimo y permitir sólo aquellas peticiones consideradas como tal  El NSM (Modelo de Seguridad Negativa) se basa en identificar patrones de ataque y permitir todo aquello que no sea considerado un ataque El PSM se considera más efectivo:  Es la estrategia adoptada en firewalls de red  Protege de ataques conocidos y desconocidos El NSM es más straight-forward, se basa en tecnología sencilla, y además es gratuito rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Introducción Fácil integración en la arquitectura modular de Apache [httpd.conf] LoadModule ... rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Introducción Se basa en una operativa sencilla que implementa la estrategia MITM rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Introducción A nivel funcional es un appliance virtual capaz de interceptar y bloquear peticiones HTTP rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Introducción Múltiples mecanismos de protección frente a intrusiones rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Introducción La configuración se define en un fichero de texto y se compone de directivas globales y un conjunto de reglas Múltiples condiciones - Acceso al script a.cgi - Con el parámetro p - Con el contenido “|ls” rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Ejecución remota de comandos arbitrarios Ejemplo de explotación de una vulnerabilidad reciente en phpBB exploit utilizado por el gusano Santy rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Ejecución remota de comandos arbitrarios ModSecurity bloquea la petición maliciosa y envía como respuesta una página por defecto rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Ejecución remota de comandos arbitrarios Regla que detecta el acceso al script vulnerable y uno de los caracteres incluidos en el parámetro utilizado por el exploit La acción de respuesta es un redirect a la página que informa al usuario de la condición de error detectada rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Inyección de sentencias SQL Fragmento de código vulnerable en Geeklog La validación del cambio de contraseña sólo depende de que la sentencia SQL retorne una fila rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Inyección de sentencias SQL El formulario de autenticación de la página principal nos permite inyectar una cadena SQL al script vulnerable Utilizaremos Paros para interceptar la petición y hacer los cambios necesarios rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Inyección de sentencias SQL Rellenamos el formulario con cualquier combinación de login y password e interceptamos la petición en Paros rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Inyección de sentencias SQL Ahora sustituimos el contenido de la petición por los valores que nos permiten inyectar una cadena SQL arbitraria mode=setnewpwd&passwd=xyz &rid=3’+or+uid=‘1& rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Inyección de sentencias SQL El ataque tiene éxito: hemos conseguido que acepte las nuevas credenciales sin conocer la password original rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Inyección de sentencias SQL La consulta que se ejecuta en el back-end es la siguiente: rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Inyección de sentencias SQL Podemos evitar esta vulnerabilidad incluyendo una regla en el fichero de configuración de ModSecurity Identificamos el script vulnerable y un patrón SQL en el parámetro rid rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Inyección de sentencias SQL La acción de respuesta en este caso consiste en invitar al usuario a que se registre en el website Es una buena forma de evidenciar las medidas de seguridad sin revelar detalles acerca de su funcionamiento rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Cross-site scripting Phorum es un message board con múltiples vulnerabilidades de cross-site scripting en las versiones 3.0.x rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Cross-site scripting Ésta es una posible configuración que nos permite bloquear cualquier ataque de cross-site scripting Cuidado con los falsos positivos: muchas aplicaciones incluyen código HTML en las peticiones de forma legítima rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Cross-site scripting La página de respuesta debe alertar al usuario del intento de engaño: en este caso el atacante es la propia víctima rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Inclusión de ficheros PHP OsCommerce es vulnerable al clásico ataque de inclusión de ficheros PHP rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Inclusión de ficheros PHP Es posible ejecutar comandos arbitrarios a través de la shell alojada en el servidor web del atacante rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Inclusión de ficheros PHP La siguiente configuración detecta el acceso directo al script vulnerable y bloquea la petición maliciosa rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Inclusión de ficheros PHP Cuando repetimos el ataque, se obtiene un mensaje en el que se informe al atacante de las medidas de seguridad de la web rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Inclusión de ficheros PHP La facilidad de logging registra todas las peticiones maliciosas para facilitar el análisis de intrusiones a posteriori rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Fuga de información confidencial Con la vulnerabilidad de OsCommerce es posible visualizar el contenido de cualquier fichero del sistema En este ejemplo vamos a acceder al fichero que almacena todas las transacciones realizadas a través del website rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Fuga de información confidencial Sólo tenemos que usar la shell del ejemplo anterior, cambiando el comando dir por more rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Fuga de información confidencial El resultado de repetir el ataque con el nuevo comando es el contenido del fichero con tarjetas de crédito válidas rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Fuga de información confidencial Para evitar este tipo de intrusiones activamos el motor de filtrado hacia fuera (FilterScanOutput) y especificamos el formato de los datos que deben protegerse rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Fuga de información confidencial Cuando repetimos el ataque se obtiene el mensaje Forbidden rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Manipulación de la cabecera Server Podemos ocultar la firma de nuestro servidor web a través de la directiva SecServerSignature rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Manipulación de la cabecera Server Cuando un atacante recupera la etiqueta Server, obtiene información falsa acerca del servidor instalado rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Conclusiones  ModSecurity es una herramienta potente que puede proteger Apache frente a los ataques web más comunes  No tiene un impacto apreciable en el rendimiento  ¡Es gratuito! (para uso personal) Pero:  Requiere actualización manual de las firmas  Puede afectar a la disponibilidad del servicio (falsos positivos)  No puede gestionarse de manera centralizada  No es PSM rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Referencias Versión reducida  Red Seguridad Nº 16 Mayo 2005 Versión completa  http://www.rafaelsanmiguel.com/articulos/ModSecurity.pdf Versión traducida  http://www.owasp.org/docroot/owasp/misc/ModSecurityforApache_OWASP.pdf Página oficial de ModSecurity  http://www.modsecurity.org rafael.sanmiguel@dvc.es
FIST Conference Junio 2005 @ Creative Commons Attribution-NoDerivs 2.0 You are free: •to copy, distribute, display, and perform this work •to make commercial use of this work Under the following conditions: Attribution. You must give the original author credit. No Derivative Works. You may not alter, transform, or build upon this work. For any reuse or distribution, you must make clear to others the license terms of this work. Any of these conditions can be waived if you get permission from the author. Your fair use and other rights are in no way affected by the above. This work is licensed under the Creative Commons Attribution-NoDerivs License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nd/2.0/ or send a letter to Creative Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA. rafael.sanmiguel@dvc.es

Recomendados

Vc4 nm73 eq#6-tls
Vc4 nm73 eq#6-tlsVc4 nm73 eq#6-tls
Vc4 nm73 eq#6-tls
Yare LoZada
 
VC4NM73-EQ#6-TLS
VC4NM73-EQ#6-TLSVC4NM73-EQ#6-TLS
VC4NM73-EQ#6-TLS
Jessica Onlyone
 
Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015
Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015
Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015
Luis Sanchez
 
Presentación gobierno en linea informatica esap (1)
Presentación gobierno en linea informatica esap (1)Presentación gobierno en linea informatica esap (1)
Presentación gobierno en linea informatica esap (1)
JareaneRiveraFiallo
 
Consulta de redes
Consulta de redesConsulta de redes
Consulta de redes
xpollox
 
Movable Typeセミナー2011年4月20日 in 名古屋 アイデアマンズ
Movable Typeセミナー2011年4月20日 in 名古屋 アイデアマンズMovable Typeセミナー2011年4月20日 in 名古屋 アイデアマンズ
Movable Typeセミナー2011年4月20日 in 名古屋 アイデアマンズ
Kunihiko Miyanaga
 
FALSAS SEÑAS DE IDENTIDAD ESPAÑOLAS
FALSAS SEÑAS DE IDENTIDAD ESPAÑOLASFALSAS SEÑAS DE IDENTIDAD ESPAÑOLAS
FALSAS SEÑAS DE IDENTIDAD ESPAÑOLAS
raude44
 
ใบงานท 8 เร__อง โครงงานประเภท _การพ_ฒนาโปรแกรมประย_กต__
ใบงานท 8 เร__อง โครงงานประเภท _การพ_ฒนาโปรแกรมประย_กต__ใบงานท 8 เร__อง โครงงานประเภท _การพ_ฒนาโปรแกรมประย_กต__
ใบงานท 8 เร__อง โครงงานประเภท _การพ_ฒนาโปรแกรมประย_กต__
Film'film Kachamad
 

Recomendados

Vc4 nm73 eq#6-tls
Vc4 nm73 eq#6-tlsVc4 nm73 eq#6-tls
Vc4 nm73 eq#6-tls
Yare LoZada
 
VC4NM73-EQ#6-TLS
VC4NM73-EQ#6-TLSVC4NM73-EQ#6-TLS
VC4NM73-EQ#6-TLS
Jessica Onlyone
 
Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015
Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015
Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015
Luis Sanchez
 
Presentación gobierno en linea informatica esap (1)
Presentación gobierno en linea informatica esap (1)Presentación gobierno en linea informatica esap (1)
Presentación gobierno en linea informatica esap (1)
JareaneRiveraFiallo
 
Consulta de redes
Consulta de redesConsulta de redes
Consulta de redes
xpollox
 
Movable Typeセミナー2011年4月20日 in 名古屋 アイデアマンズ
Movable Typeセミナー2011年4月20日 in 名古屋 アイデアマンズMovable Typeセミナー2011年4月20日 in 名古屋 アイデアマンズ
Movable Typeセミナー2011年4月20日 in 名古屋 アイデアマンズ
Kunihiko Miyanaga
 
FALSAS SEÑAS DE IDENTIDAD ESPAÑOLAS
FALSAS SEÑAS DE IDENTIDAD ESPAÑOLASFALSAS SEÑAS DE IDENTIDAD ESPAÑOLAS
FALSAS SEÑAS DE IDENTIDAD ESPAÑOLAS
raude44
 
ใบงานท 8 เร__อง โครงงานประเภท _การพ_ฒนาโปรแกรมประย_กต__
ใบงานท 8 เร__อง โครงงานประเภท _การพ_ฒนาโปรแกรมประย_กต__ใบงานท 8 เร__อง โครงงานประเภท _การพ_ฒนาโปรแกรมประย_กต__
ใบงานท 8 เร__อง โครงงานประเภท _การพ_ฒนาโปรแกรมประย_กต__
Film'film Kachamad
 
ordenagailuko osagaiak
ordenagailuko osagaiakordenagailuko osagaiak
ordenagailuko osagaiak
mikeldean
 
355.2 taguatinga sul vicente pires comercialqng-areal - qs 11
355.2 taguatinga sul vicente pires comercialqng-areal - qs 11355.2 taguatinga sul vicente pires comercialqng-areal - qs 11
355.2 taguatinga sul vicente pires comercialqng-areal - qs 11
Osvaldo Júnior
 
Webinar OEM DBPacks ahorro costes
Webinar OEM DBPacks ahorro costesWebinar OEM DBPacks ahorro costes
Webinar OEM DBPacks ahorro costes
avanttic Consultoría Tecnológica
 
JBoss AS Installation -JBoss as jeap - Curso JBoss JB366 Día 2
JBoss AS Installation -JBoss as jeap - Curso JBoss JB366 Día 2 JBoss AS Installation -JBoss as jeap - Curso JBoss JB366 Día 2
JBoss AS Installation -JBoss as jeap - Curso JBoss JB366 Día 2
César Pajares
 
Ppt dbsec-oow2013-avdf
Ppt dbsec-oow2013-avdfPpt dbsec-oow2013-avdf
Ppt dbsec-oow2013-avdf
Melody Liu
 
JBoss AS Seguridad - monitorizacións - Curso JBoss JB366 Día 4
JBoss AS Seguridad - monitorizacións - Curso JBoss JB366 Día 4 JBoss AS Seguridad - monitorizacións - Curso JBoss JB366 Día 4
JBoss AS Seguridad - monitorizacións - Curso JBoss JB366 Día 4
César Pajares
 
Ejemplo De Swicht
Ejemplo De SwichtEjemplo De Swicht
Ejemplo De Swicht
mario23
 
Documentación Web application firewall
Documentación Web application firewallDocumentación Web application firewall
Documentación Web application firewall
Miguel Angel López Moyano
 
Ejemplo De Hub
Ejemplo De HubEjemplo De Hub
Ejemplo De Hub
mario23
 
презентація завантаження даних з інтернету
презентація завантаження даних з інтернетупрезентація завантаження даних з інтернету
презентація завантаження даних з інтернету
Сергій Каляфіцький
 
Presentation4
Presentation4Presentation4
Presentation4
MBALI HADEBE
 
TOP 10 BRANDS IN INDIAN ICT INDUSTRY
TOP 10 BRANDS IN INDIAN ICT INDUSTRYTOP 10 BRANDS IN INDIAN ICT INDUSTRY
TOP 10 BRANDS IN INDIAN ICT INDUSTRY
My Brandbook
 
ใบงานท 8 เร__อง โครงงานประเภท _การพ_ฒนาโปรแกรมประย_กต__
ใบงานท 8 เร__อง โครงงานประเภท _การพ_ฒนาโปรแกรมประย_กต__ใบงานท 8 เร__อง โครงงานประเภท _การพ_ฒนาโปรแกรมประย_กต__
ใบงานท 8 เร__อง โครงงานประเภท _การพ_ฒนาโปรแกรมประย_กต__
Film'film Kachamad
 
TALLER N. 9- ARQUITECTURA DE COMUNICACION DE DATOS EN CAPAS
TALLER N. 9- ARQUITECTURA DE COMUNICACION DE DATOS EN CAPASTALLER N. 9- ARQUITECTURA DE COMUNICACION DE DATOS EN CAPAS
TALLER N. 9- ARQUITECTURA DE COMUNICACION DE DATOS EN CAPAS
mario23
 
App vs product
App vs productApp vs product
App vs product
Mohamed Khalloufi
 
CELL DIVISION
CELL DIVISIONCELL DIVISION
CELL DIVISION
Izwakele Mthembu
 
Mospna3 micro lesson
Mospna3 micro lessonMospna3 micro lesson
Mospna3 micro lesson
MBALI HADEBE
 
презентація контрольна робота №1
презентація контрольна робота №1презентація контрольна робота №1
презентація контрольна робота №1
Сергій Каляфіцький
 
Path of Cyber Security
Path of Cyber SecurityPath of Cyber Security
Path of Cyber Security
Satria Ady Pradana
 
Micro organisms-fungi
Micro organisms-fungiMicro organisms-fungi
Micro organisms-fungi
MBALI HADEBE
 
Logitek Comunicación segura OPC_JAI_2014
Logitek Comunicación segura OPC_JAI_2014Logitek Comunicación segura OPC_JAI_2014
Logitek Comunicación segura OPC_JAI_2014
Logitek Solutions
 
El uso correcto de MySQLi
El uso correcto de MySQLi El uso correcto de MySQLi
El uso correcto de MySQLi
Arsys
 

Más contenido relacionado

Destacado

ordenagailuko osagaiak
ordenagailuko osagaiakordenagailuko osagaiak
ordenagailuko osagaiak
mikeldean
 
355.2 taguatinga sul vicente pires comercialqng-areal - qs 11
355.2 taguatinga sul vicente pires comercialqng-areal - qs 11355.2 taguatinga sul vicente pires comercialqng-areal - qs 11
355.2 taguatinga sul vicente pires comercialqng-areal - qs 11
Osvaldo Júnior
 
Ejemplo De Swicht
Ejemplo De SwichtEjemplo De Swicht
Ejemplo De Swicht
mario23
 
Ejemplo De Hub
Ejemplo De HubEjemplo De Hub
Ejemplo De Hub
mario23
 
ใบงานท 8 เร__อง โครงงานประเภท _การพ_ฒนาโปรแกรมประย_กต__
ใบงานท 8 เร__อง โครงงานประเภท _การพ_ฒนาโปรแกรมประย_กต__ใบงานท 8 เร__อง โครงงานประเภท _การพ_ฒนาโปรแกรมประย_กต__
ใบงานท 8 เร__อง โครงงานประเภท _การพ_ฒนาโปรแกรมประย_กต__
Film'film Kachamad
 
TALLER N. 9- ARQUITECTURA DE COMUNICACION DE DATOS EN CAPAS
TALLER N. 9- ARQUITECTURA DE COMUNICACION DE DATOS EN CAPASTALLER N. 9- ARQUITECTURA DE COMUNICACION DE DATOS EN CAPAS
TALLER N. 9- ARQUITECTURA DE COMUNICACION DE DATOS EN CAPAS
mario23
 

Destacado (20)

ordenagailuko osagaiak
ordenagailuko osagaiakordenagailuko osagaiak
ordenagailuko osagaiak
 
355.2 taguatinga sul vicente pires comercialqng-areal - qs 11
355.2 taguatinga sul vicente pires comercialqng-areal - qs 11355.2 taguatinga sul vicente pires comercialqng-areal - qs 11
355.2 taguatinga sul vicente pires comercialqng-areal - qs 11
 
Webinar OEM DBPacks ahorro costes
Webinar OEM DBPacks ahorro costesWebinar OEM DBPacks ahorro costes
Webinar OEM DBPacks ahorro costes
 
JBoss AS Installation -JBoss as jeap - Curso JBoss JB366 Día 2
JBoss AS Installation -JBoss as jeap - Curso JBoss JB366 Día 2 JBoss AS Installation -JBoss as jeap - Curso JBoss JB366 Día 2
JBoss AS Installation -JBoss as jeap - Curso JBoss JB366 Día 2
 
Ppt dbsec-oow2013-avdf
Ppt dbsec-oow2013-avdfPpt dbsec-oow2013-avdf
Ppt dbsec-oow2013-avdf
 
JBoss AS Seguridad - monitorizacións - Curso JBoss JB366 Día 4
JBoss AS Seguridad - monitorizacións - Curso JBoss JB366 Día 4 JBoss AS Seguridad - monitorizacións - Curso JBoss JB366 Día 4
JBoss AS Seguridad - monitorizacións - Curso JBoss JB366 Día 4
 
Ejemplo De Swicht
Ejemplo De SwichtEjemplo De Swicht
Ejemplo De Swicht
 
Documentación Web application firewall
Documentación Web application firewallDocumentación Web application firewall
Documentación Web application firewall
 
Ejemplo De Hub
Ejemplo De HubEjemplo De Hub
Ejemplo De Hub
 
презентація завантаження даних з інтернету
презентація завантаження даних з інтернетупрезентація завантаження даних з інтернету
презентація завантаження даних з інтернету
 
Presentation4
Presentation4Presentation4
Presentation4
 
TOP 10 BRANDS IN INDIAN ICT INDUSTRY
TOP 10 BRANDS IN INDIAN ICT INDUSTRYTOP 10 BRANDS IN INDIAN ICT INDUSTRY
TOP 10 BRANDS IN INDIAN ICT INDUSTRY
 
ใบงานท 8 เร__อง โครงงานประเภท _การพ_ฒนาโปรแกรมประย_กต__
ใบงานท 8 เร__อง โครงงานประเภท _การพ_ฒนาโปรแกรมประย_กต__ใบงานท 8 เร__อง โครงงานประเภท _การพ_ฒนาโปรแกรมประย_กต__
ใบงานท 8 เร__อง โครงงานประเภท _การพ_ฒนาโปรแกรมประย_กต__
 
TALLER N. 9- ARQUITECTURA DE COMUNICACION DE DATOS EN CAPAS
TALLER N. 9- ARQUITECTURA DE COMUNICACION DE DATOS EN CAPASTALLER N. 9- ARQUITECTURA DE COMUNICACION DE DATOS EN CAPAS
TALLER N. 9- ARQUITECTURA DE COMUNICACION DE DATOS EN CAPAS
 
App vs product
App vs productApp vs product
App vs product
 
CELL DIVISION
CELL DIVISIONCELL DIVISION
CELL DIVISION
 
Mospna3 micro lesson
Mospna3 micro lessonMospna3 micro lesson
Mospna3 micro lesson
 
презентація контрольна робота №1
презентація контрольна робота №1презентація контрольна робота №1
презентація контрольна робота №1
 
Path of Cyber Security
Path of Cyber SecurityPath of Cyber Security
Path of Cyber Security
 
Micro organisms-fungi
Micro organisms-fungiMicro organisms-fungi
Micro organisms-fungi
 

Similar a Modulos de Seguridad en Servidores Web

OWASP Spain: Protection and Verification of Business Logic Flaws
OWASP Spain: Protection and Verification of Business Logic FlawsOWASP Spain: Protection and Verification of Business Logic Flaws
OWASP Spain: Protection and Verification of Business Logic Flaws
Hdiv Security
 
Sql server 2005_para_desarrolladores_madrid
Sql server 2005_para_desarrolladores_madridSql server 2005_para_desarrolladores_madrid
Sql server 2005_para_desarrolladores_madrid
germanjimenez1977
 
Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1
Carlos Alderete
 
Paper injection sql_santiago_hidalgo_diego_jaramillo_victor_olalla_becket_toa...
Paper injection sql_santiago_hidalgo_diego_jaramillo_victor_olalla_becket_toa...Paper injection sql_santiago_hidalgo_diego_jaramillo_victor_olalla_becket_toa...
Paper injection sql_santiago_hidalgo_diego_jaramillo_victor_olalla_becket_toa...
Becket Toapanta
 
Evaluación de Ataques tipo Inyección SQL a Ciegas a las Aplicaciones Web util...
Evaluación de Ataques tipo Inyección SQL a Ciegas a las Aplicaciones Web util...Evaluación de Ataques tipo Inyección SQL a Ciegas a las Aplicaciones Web util...
Evaluación de Ataques tipo Inyección SQL a Ciegas a las Aplicaciones Web util...
beckett1
 

Similar a Modulos de Seguridad en Servidores Web (20)

Logitek Comunicación segura OPC_JAI_2014
Logitek Comunicación segura OPC_JAI_2014Logitek Comunicación segura OPC_JAI_2014
Logitek Comunicación segura OPC_JAI_2014
 
El uso correcto de MySQLi
El uso correcto de MySQLi El uso correcto de MySQLi
El uso correcto de MySQLi
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_security
 
Webinar Gratuito: Metasploit Framework y el Firewall de Windows
Webinar Gratuito: Metasploit Framework y el Firewall de WindowsWebinar Gratuito: Metasploit Framework y el Firewall de Windows
Webinar Gratuito: Metasploit Framework y el Firewall de Windows
 
OWASP Spain: Protection and Verification of Business Logic Flaws
OWASP Spain: Protection and Verification of Business Logic FlawsOWASP Spain: Protection and Verification of Business Logic Flaws
OWASP Spain: Protection and Verification of Business Logic Flaws
 
Airbase y KARMetasploit
Airbase y KARMetasploitAirbase y KARMetasploit
Airbase y KARMetasploit
 
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
 
Sql server 2005_para_desarrolladores_madrid
Sql server 2005_para_desarrolladores_madridSql server 2005_para_desarrolladores_madrid
Sql server 2005_para_desarrolladores_madrid
 
Tema 1
Tema 1Tema 1
Tema 1
 
Comunicaciones industriales opc
Comunicaciones industriales opcComunicaciones industriales opc
Comunicaciones industriales opc
 
Hacking & Hardening Drupal
Hacking & Hardening DrupalHacking & Hardening Drupal
Hacking & Hardening Drupal
 
Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1
 
Curso: Redes y telecomunicaciones 08 Redes LAN
Curso: Redes y telecomunicaciones 08 Redes LANCurso: Redes y telecomunicaciones 08 Redes LAN
Curso: Redes y telecomunicaciones 08 Redes LAN
 
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
 
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
 
Seguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHPSeguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHP
 
Paper injection sql_santiago_hidalgo_diego_jaramillo_victor_olalla_becket_toa...
Paper injection sql_santiago_hidalgo_diego_jaramillo_victor_olalla_becket_toa...Paper injection sql_santiago_hidalgo_diego_jaramillo_victor_olalla_becket_toa...
Paper injection sql_santiago_hidalgo_diego_jaramillo_victor_olalla_becket_toa...
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones Web
 
Seguridad Web XSS y BeEF
Seguridad Web XSS y BeEFSeguridad Web XSS y BeEF
Seguridad Web XSS y BeEF
 
Evaluación de Ataques tipo Inyección SQL a Ciegas a las Aplicaciones Web util...
Evaluación de Ataques tipo Inyección SQL a Ciegas a las Aplicaciones Web util...Evaluación de Ataques tipo Inyección SQL a Ciegas a las Aplicaciones Web util...
Evaluación de Ataques tipo Inyección SQL a Ciegas a las Aplicaciones Web util...
 

Más de Conferencias FIST

Seguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceSeguridad en Entornos Web Open Source
Seguridad en Entornos Web Open Source
Conferencias FIST
 
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática Forense
Conferencias FIST
 
Evolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiEvolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFi
Conferencias FIST
 
El Information Security Forum
El Information Security ForumEl Information Security Forum
El Information Security Forum
Conferencias FIST
 
Inseguridad en Redes Wireless
Inseguridad en Redes WirelessInseguridad en Redes Wireless
Inseguridad en Redes Wireless
Conferencias FIST
 
Mas allá de la Concienciación
Mas allá de la ConcienciaciónMas allá de la Concienciación
Mas allá de la Concienciación
Conferencias FIST
 
Riesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloRiesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el Desarrollo
Conferencias FIST
 
Demostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseDemostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis Forense
Conferencias FIST
 

Más de Conferencias FIST (20)

Seguridad en Open Solaris
Seguridad en Open SolarisSeguridad en Open Solaris
Seguridad en Open Solaris
 
Seguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceSeguridad en Entornos Web Open Source
Seguridad en Entornos Web Open Source
 
Spanish Honeynet Project
Spanish Honeynet ProjectSpanish Honeynet Project
Spanish Honeynet Project
 
Seguridad en Windows Mobile
Seguridad en Windows MobileSeguridad en Windows Mobile
Seguridad en Windows Mobile
 
SAP Security
SAP SecuritySAP Security
SAP Security
 
Que es Seguridad
Que es SeguridadQue es Seguridad
Que es Seguridad
 
Network Access Protection
Network Access ProtectionNetwork Access Protection
Network Access Protection
 
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática Forense
 
Evolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiEvolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFi
 
El Information Security Forum
El Information Security ForumEl Information Security Forum
El Information Security Forum
 
Criptografia Cuántica
Criptografia CuánticaCriptografia Cuántica
Criptografia Cuántica
 
Inseguridad en Redes Wireless
Inseguridad en Redes WirelessInseguridad en Redes Wireless
Inseguridad en Redes Wireless
 
Mas allá de la Concienciación
Mas allá de la ConcienciaciónMas allá de la Concienciación
Mas allá de la Concienciación
 
Security Metrics
Security MetricsSecurity Metrics
Security Metrics
 
PKI Interoperability
PKI InteroperabilityPKI Interoperability
PKI Interoperability
 
Wifislax 3.1
Wifislax 3.1Wifislax 3.1
Wifislax 3.1
 
Network Forensics
Network ForensicsNetwork Forensics
Network Forensics
 
Riesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloRiesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el Desarrollo
 
Demostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseDemostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis Forense
 
Security Maturity Model
Security Maturity ModelSecurity Maturity Model
Security Maturity Model
 

Último

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 

Último (12)

investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 

Modulos de Seguridad en Servidores Web

  • 1. FIST Conference Junio 2005 @ Módulos de seguridad en servidores web Rafael San Miguel Carrasco Consultor de Seguridad rafael.sanmiguel@dvc.es
  • 2. FIST Conference Junio 2005 @ Contenido de la presentación  PSM vs NSM  Introducción  Evaluación funcional  Ejecución remota de comandos arbitrarios  Inyección de sentencias SQL  Cross-site scripting  Inclusión de ficheros PHP  Fuga de información confidencial  Manipulación de la cabecera Server  Conclusiones  Referencias rafael.sanmiguel@dvc.es
  • 3. FIST Conference Junio 2005 @ PSM vs NSM  El PSM (Modelo de Seguridad Positiva) se basa en identificar los patrones de tráfico legítimo y permitir sólo aquellas peticiones consideradas como tal  El NSM (Modelo de Seguridad Negativa) se basa en identificar patrones de ataque y permitir todo aquello que no sea considerado un ataque El PSM se considera más efectivo:  Es la estrategia adoptada en firewalls de red  Protege de ataques conocidos y desconocidos El NSM es más straight-forward, se basa en tecnología sencilla, y además es gratuito rafael.sanmiguel@dvc.es
  • 4. FIST Conference Junio 2005 @ Introducción Fácil integración en la arquitectura modular de Apache [httpd.conf] LoadModule ... rafael.sanmiguel@dvc.es
  • 5. FIST Conference Junio 2005 @ Introducción Se basa en una operativa sencilla que implementa la estrategia MITM rafael.sanmiguel@dvc.es
  • 6. FIST Conference Junio 2005 @ Introducción A nivel funcional es un appliance virtual capaz de interceptar y bloquear peticiones HTTP rafael.sanmiguel@dvc.es
  • 7. FIST Conference Junio 2005 @ Introducción Múltiples mecanismos de protección frente a intrusiones rafael.sanmiguel@dvc.es
  • 8. FIST Conference Junio 2005 @ Introducción La configuración se define en un fichero de texto y se compone de directivas globales y un conjunto de reglas Múltiples condiciones - Acceso al script a.cgi - Con el parámetro p - Con el contenido “|ls” rafael.sanmiguel@dvc.es
  • 9. FIST Conference Junio 2005 @ Ejecución remota de comandos arbitrarios Ejemplo de explotación de una vulnerabilidad reciente en phpBB exploit utilizado por el gusano Santy rafael.sanmiguel@dvc.es
  • 10. FIST Conference Junio 2005 @ Ejecución remota de comandos arbitrarios ModSecurity bloquea la petición maliciosa y envía como respuesta una página por defecto rafael.sanmiguel@dvc.es
  • 11. FIST Conference Junio 2005 @ Ejecución remota de comandos arbitrarios Regla que detecta el acceso al script vulnerable y uno de los caracteres incluidos en el parámetro utilizado por el exploit La acción de respuesta es un redirect a la página que informa al usuario de la condición de error detectada rafael.sanmiguel@dvc.es
  • 12. FIST Conference Junio 2005 @ Inyección de sentencias SQL Fragmento de código vulnerable en Geeklog La validación del cambio de contraseña sólo depende de que la sentencia SQL retorne una fila rafael.sanmiguel@dvc.es
  • 13. FIST Conference Junio 2005 @ Inyección de sentencias SQL El formulario de autenticación de la página principal nos permite inyectar una cadena SQL al script vulnerable Utilizaremos Paros para interceptar la petición y hacer los cambios necesarios rafael.sanmiguel@dvc.es
  • 14. FIST Conference Junio 2005 @ Inyección de sentencias SQL Rellenamos el formulario con cualquier combinación de login y password e interceptamos la petición en Paros rafael.sanmiguel@dvc.es
  • 15. FIST Conference Junio 2005 @ Inyección de sentencias SQL Ahora sustituimos el contenido de la petición por los valores que nos permiten inyectar una cadena SQL arbitraria mode=setnewpwd&passwd=xyz &rid=3’+or+uid=‘1& rafael.sanmiguel@dvc.es
  • 16. FIST Conference Junio 2005 @ Inyección de sentencias SQL El ataque tiene éxito: hemos conseguido que acepte las nuevas credenciales sin conocer la password original rafael.sanmiguel@dvc.es
  • 17. FIST Conference Junio 2005 @ Inyección de sentencias SQL La consulta que se ejecuta en el back-end es la siguiente: rafael.sanmiguel@dvc.es
  • 18. FIST Conference Junio 2005 @ Inyección de sentencias SQL Podemos evitar esta vulnerabilidad incluyendo una regla en el fichero de configuración de ModSecurity Identificamos el script vulnerable y un patrón SQL en el parámetro rid rafael.sanmiguel@dvc.es
  • 19. FIST Conference Junio 2005 @ Inyección de sentencias SQL La acción de respuesta en este caso consiste en invitar al usuario a que se registre en el website Es una buena forma de evidenciar las medidas de seguridad sin revelar detalles acerca de su funcionamiento rafael.sanmiguel@dvc.es
  • 20. FIST Conference Junio 2005 @ Cross-site scripting Phorum es un message board con múltiples vulnerabilidades de cross-site scripting en las versiones 3.0.x rafael.sanmiguel@dvc.es
  • 21. FIST Conference Junio 2005 @ Cross-site scripting Ésta es una posible configuración que nos permite bloquear cualquier ataque de cross-site scripting Cuidado con los falsos positivos: muchas aplicaciones incluyen código HTML en las peticiones de forma legítima rafael.sanmiguel@dvc.es
  • 22. FIST Conference Junio 2005 @ Cross-site scripting La página de respuesta debe alertar al usuario del intento de engaño: en este caso el atacante es la propia víctima rafael.sanmiguel@dvc.es
  • 23. FIST Conference Junio 2005 @ Inclusión de ficheros PHP OsCommerce es vulnerable al clásico ataque de inclusión de ficheros PHP rafael.sanmiguel@dvc.es
  • 24. FIST Conference Junio 2005 @ Inclusión de ficheros PHP Es posible ejecutar comandos arbitrarios a través de la shell alojada en el servidor web del atacante rafael.sanmiguel@dvc.es
  • 25. FIST Conference Junio 2005 @ Inclusión de ficheros PHP La siguiente configuración detecta el acceso directo al script vulnerable y bloquea la petición maliciosa rafael.sanmiguel@dvc.es
  • 26. FIST Conference Junio 2005 @ Inclusión de ficheros PHP Cuando repetimos el ataque, se obtiene un mensaje en el que se informe al atacante de las medidas de seguridad de la web rafael.sanmiguel@dvc.es
  • 27. FIST Conference Junio 2005 @ Inclusión de ficheros PHP La facilidad de logging registra todas las peticiones maliciosas para facilitar el análisis de intrusiones a posteriori rafael.sanmiguel@dvc.es
  • 28. FIST Conference Junio 2005 @ Fuga de información confidencial Con la vulnerabilidad de OsCommerce es posible visualizar el contenido de cualquier fichero del sistema En este ejemplo vamos a acceder al fichero que almacena todas las transacciones realizadas a través del website rafael.sanmiguel@dvc.es
  • 29. FIST Conference Junio 2005 @ Fuga de información confidencial Sólo tenemos que usar la shell del ejemplo anterior, cambiando el comando dir por more rafael.sanmiguel@dvc.es
  • 30. FIST Conference Junio 2005 @ Fuga de información confidencial El resultado de repetir el ataque con el nuevo comando es el contenido del fichero con tarjetas de crédito válidas rafael.sanmiguel@dvc.es
  • 31. FIST Conference Junio 2005 @ Fuga de información confidencial Para evitar este tipo de intrusiones activamos el motor de filtrado hacia fuera (FilterScanOutput) y especificamos el formato de los datos que deben protegerse rafael.sanmiguel@dvc.es
  • 32. FIST Conference Junio 2005 @ Fuga de información confidencial Cuando repetimos el ataque se obtiene el mensaje Forbidden rafael.sanmiguel@dvc.es
  • 33. FIST Conference Junio 2005 @ Manipulación de la cabecera Server Podemos ocultar la firma de nuestro servidor web a través de la directiva SecServerSignature rafael.sanmiguel@dvc.es
  • 34. FIST Conference Junio 2005 @ Manipulación de la cabecera Server Cuando un atacante recupera la etiqueta Server, obtiene información falsa acerca del servidor instalado rafael.sanmiguel@dvc.es
  • 35. FIST Conference Junio 2005 @ Conclusiones  ModSecurity es una herramienta potente que puede proteger Apache frente a los ataques web más comunes  No tiene un impacto apreciable en el rendimiento  ¡Es gratuito! (para uso personal) Pero:  Requiere actualización manual de las firmas  Puede afectar a la disponibilidad del servicio (falsos positivos)  No puede gestionarse de manera centralizada  No es PSM rafael.sanmiguel@dvc.es
  • 36. FIST Conference Junio 2005 @ Referencias Versión reducida  Red Seguridad Nº 16 Mayo 2005 Versión completa  http://www.rafaelsanmiguel.com/articulos/ModSecurity.pdf Versión traducida  http://www.owasp.org/docroot/owasp/misc/ModSecurityforApache_OWASP.pdf Página oficial de ModSecurity  http://www.modsecurity.org rafael.sanmiguel@dvc.es
  • 37. FIST Conference Junio 2005 @ Creative Commons Attribution-NoDerivs 2.0 You are free: •to copy, distribute, display, and perform this work •to make commercial use of this work Under the following conditions: Attribution. You must give the original author credit. No Derivative Works. You may not alter, transform, or build upon this work. For any reuse or distribution, you must make clear to others the license terms of this work. Any of these conditions can be waived if you get permission from the author. Your fair use and other rights are in no way affected by the above. This work is licensed under the Creative Commons Attribution-NoDerivs License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nd/2.0/ or send a letter to Creative Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA. rafael.sanmiguel@dvc.es